基于網站建設中網頁設計的安全缺陷與分析

馬蓉平

摘要：隨著互聯網的發(fā)展，互聯網+時代的到來，網站更能快速且直觀體現企業(yè)的文化和變化。在網站建設中，網頁設計工作是重要內容。同樣的，網絡上不懷好意的網絡攻擊和黑客也迅速的出現，網頁設計中的安全缺陷及對策分析更顯重要。

Abstract： With the development of the Internet and the arrival of the Internet + era， the website can more quickly and intuitively reflect the culture and changes of the enterprise. In the construction of the website， the web design work is an important content. Similarly， ill-intentioned cyber attacks and hackers on the Internet have also emerged rapidly， so security flaws and countermeasures analysis in web design are more important.

關鍵詞：網頁設計安全；缺陷；對策

Key words： web design security；defects；countermeasures

中圖分類號：TP393.0 文獻標識碼：A 文章編號：1006-4311（2018）28-0230-02

0 引言

至1998年3月，中國第一筆互聯網網上交易的成功，隨著科技日新月異的發(fā)展，網絡技術也在不斷的飛速發(fā)展和更新。在這樣的大環(huán)境下，同樣也促進了我國電子商務技術的迅猛發(fā)展?，F今，電子商務技術已經不再只是為互聯網在線企業(yè)服務。更多的傳統(tǒng)企業(yè)都開始關注到電子商務領域，使得現今的電子商務平臺更加豐富多彩。商務網站是通過手機、平板、筆記本等電子設備，用網頁、APP等不同的形式來展示企業(yè)的特點和形象。通過商務網站，可以幫助加深用戶對企業(yè)的全方位了解，促進貿易合作的達成。在這里，網頁設計則是網站建設的關鍵工作。同時，網絡上不懷好意的網絡攻擊和黑客也迅速的出現，掌握和了解在網頁設計過程中會出現的安全缺陷，同時分析和了解解決缺陷的方法顯得更加重要。

1 在網頁設計過程中常見的安全隱患

隨著新型互聯網產品的誕生，基于網頁環(huán)境的互聯網應用也越來越廣泛，企業(yè)信息化的過程中各種各樣的應用都會放在網頁平臺上來實現，網頁業(yè)務迅猛發(fā)展同樣也引起了黑客們的強烈關注，因此網頁安全威脅也凸顯出來，攻擊者可以利用Windows等操作系統(tǒng)自身的漏洞，或者是利用網頁服務程序中人機交互時的SQL注入漏洞等安全缺陷獲得網頁所在服務器的控制權限，掌握了控制權限之后，攻擊者就可以篡改網頁的原始內容和數據，同時可以復制網頁的內部數據。與此同時，攻擊者更可以在網頁中加載木馬等惡意代碼，使得被攻擊的網站成為惡意代碼的傳播者。

在網站建設中除了要實現網站的基本功能之外，設計者還需要考慮到網站的安全性。最近幾年，很多網站都曾被黑客攻擊過。在網站安全性引起重視的時候，黑客的技術也在不斷的提高，特別是利用ASP程序制作的網站，一些網站訪問起來很正常，可是查看網站源代碼時，就會發(fā)現底部有很多不明含義的隱藏內容。那么，網頁設計中都有哪些常見的安全缺陷。

2 網頁設計中常見的安全缺陷

2.1 登錄驗證漏洞

①登錄驗證漏洞指的是攻擊者繞過登錄時的驗證系統(tǒng)直接進入到其他頁面的漏洞。例如有些網站的頁面沒有做用戶登錄驗證系統(tǒng)功能設計。那么，攻擊者在收集到網站的頁面完整路徑和文件名后，在瀏覽器的地址欄中直接輸入完整URL路徑，就可以不進行驗證而進入指定頁面。

②登錄驗證漏洞的另一種是登錄驗證頁面漏洞。多數網站都有登錄頁面，要求用戶輸入正確的用戶名和密碼后才可以進入頁面，而驗證系統(tǒng)都是通過判定用戶輸入的用戶名和密碼是否存在于數據庫中來進行。但是，如果程序設計的不夠嚴謹，則會出現這種漏洞。

2.2 SQL注入漏洞

在網頁設計中，多數人機交互操作都是利用表單來實現的，如果在設計過程中沒有對用戶輸入數據的正當性進行判定的話，攻擊者可以在文本框中提交一段SQL查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是SQL注入。

2.3 文件上傳的漏洞

文件上傳漏洞指的是網絡攻擊者上傳了一個可執(zhí)行的惡意代碼到服務器并被執(zhí)行。在我們平時常用的很多網站中，例如電子郵件網站、論壇等很多網站中，都允許用戶上傳文件、圖片、視頻等內容到網站服務器中。如果網站的開發(fā)人員沒有做好身份的認證和數據的過濾排查，很有可能被黑客利用。黑客可以利用如Telnet服務等功能對網站內容和數據進行修改和破壞。這里上傳的惡意文件可以是木馬程序、病毒，Webshell或者惡意腳本等。這種攻擊方式直接、簡單又有效。

2.4 網站缺乏授權[1]

有些網站在進行網頁編程設計時，程序設計人員往往會使用比較繁瑣的網絡安全配置，使得網站往往缺乏授權，這就造成了網絡服務在其應用運行中出現非常巨大的網絡運行安全缺陷。利用這些安全缺陷，網絡黑客們可以很容易地對網站的網絡服務器進行遠程的入侵和破壞，給網站的安全和企業(yè)的經濟利益帶來了巨大的威脅和危害。再加上軟件設置的密碼簡單或是網絡入口的防火墻性能設置過低等安全缺陷，也可以讓網絡黑客和網絡病毒能夠非常容易的對網站造成侵入和破壞。

2.5 網頁病毒的傳播

網頁病毒是現今最常見的安全攻擊。病毒具有寄生性、傳染性、可觸發(fā)性等特點。這些計算機病毒都是攻擊者事先設計好的可執(zhí)行文件。例如在網頁文件中嵌入Script語言編寫的惡意代碼，這種Script代碼可以利用瀏覽器的漏洞來實現病毒植入。當用戶登錄這些網站時，編寫好的Script代碼會被執(zhí)行，網頁病毒一旦被觸發(fā)，就可以對網頁服務器資源進行篡改。例如，我們在上網時經常會發(fā)現打開某個頁面后，360安全衛(wèi)士會提醒有程序正在修改瀏覽器首頁。這就是網頁病毒的一種現象。病毒和木馬程序也有可能會關閉網頁中的部分功能，使得用戶無法正常使用網站系統(tǒng)等。最簡單的方式就是網頁自動跳轉程序，而這種網頁病毒編寫起來比較容易，而且攻擊也很直接。

3 常見網頁設計安全缺陷解決對策

3.1 解決登錄驗證安全缺陷[2]

很多網站在進行用戶登錄時，多會使用人機交互界面完成登錄驗證。而網站的設計者對驗證程序沒有做到全面的考慮，這樣很容易產生登錄驗證安全缺陷，造成Script Language編寫程序在對用戶賬號密碼進行驗證工作時出現問題。

針對登錄驗證安全缺陷這個問題，可以通過下面的方法解決：首先在注冊用戶名和密碼時添加注冊限制，對于非法的用戶名和密碼不準申請；其次，在利用SQL語句進行登錄查詢時，我們可以先過濾用戶輸入的信息，在一定程度上防止非法賬號及密碼的應用；接下來，在進行用戶驗證時，不急于對用戶名和密碼同時進行匹配，而是先對用戶名進行驗證，等用戶名匹配成功之后，再進行密碼的驗證工作。這樣可以減少查詢時間，提高查詢效率。

3.2 SQL注入漏洞的預防

SQL語言是網站設計中必不可少的后臺數據庫語言。在SQL語言中有一些特殊字符如“*”等，這些特殊字符是為了完成模糊匹配的。可有些網站設計人員在網站設計初始，沒有考慮到SQL語言的書寫規(guī)范和特殊字符的應用，產生SQL注入漏洞，導致攻擊者通過表單提交中的全局變量GET和POST把SQL語句提交并執(zhí)行。

針對于這一問題，具體的解決方法包括：可以打開配置文件中的magic_quotes_gpc和magic_quotes_runtime的設置；設置register_globals為off；關閉全局變量注冊；最后，在給數據庫和數據表字段進行命名時，特別是一些重要字段命名時，不要取一些很容易被猜到的名字。例如“姓名”字段最好不要命名為“name”字段。

3.3 文件上傳漏洞的解決方案

文件上傳漏洞產生的原因主要是攻擊者通過網站上提供的“上傳文件”功能，把一些惡意的可執(zhí)行文件上傳至服務器，并通過它獲得對服務器的控制權?？梢酝ㄟ^下面幾個方面來解決文件上傳漏洞：首先把文件上傳的目錄設置為不可執(zhí)行，這樣一來，此目錄只能存放文件，不能做其它操作；其次，文件類型的判斷。要對上傳的文件進行判斷，可執(zhí)行文件等特殊類型的文件不可以上傳保存；最后，使用隨機數改寫文件名和文件路徑；單獨設置文件服務器的域名。

3.4 Web安全加固[3]

針對網頁篡改的攻擊方法多種多樣。如果想要網頁不被篡改，最直接的方法就是在設計網頁時采取一定的措施來避免被篡改的網頁從服務器中流出去。同時，加固網頁使其不容易被修改。前者我們可以使用硬件的方式來實現。而后者，我們可以通過網頁設計和應用程序來實現。到目前為止兩種防護功能的相互整合程度還不是很高。

在現今不斷發(fā)展的信息技術時代，網絡無處不在，我們的很多信息都是通過網站獲得，所以網站技術就成了一項很重要的內容。網頁設計中經常使用的服務器端設計程序主要包括Active Server Page、Hypertext Preprocessor、Java Server Pages等腳本語言，正是這些腳本語言為網站開發(fā)提供了平臺。利用ASP、PHP、JSP等腳本語言搭建的網站后臺程序，不論是程序開發(fā)階段，還是程序后期維護階段，對于設計開發(fā)人員來說都非常的高效、便捷，而且實現起來也是比較容易的。一個功能健全而使用安全的網站所涉及到的程序內容有很多，又因網頁設計的特殊性，使得利用表單等功能實現的人機交互更為頻繁，用戶輸入什么信息內容是網頁設計者無法預測的，此時網頁設計中安全隱患就會暴露出來，用戶的輸入內容就有可能對網站造成不同程度的攻擊。在網站設計的過程中，除了上面介紹的幾種安全缺陷以外，還有很多其它的安全缺陷。因此，在建設網站時一定要多多注意網站的安全性，請在完成網站設計功能的基礎上，在一定程度上注意提高網站的安全性。

參考文獻：

[1]張麗君.基于網站建設中網頁設計的安全缺陷及對策分析[J].中國信息化，2012（20）.

[2]邢太北.分析網站建設中網頁設計的安全缺陷對策[J].軟件設計開發(fā)，2012（15）.

[3]錢能，楊杰.網站建設中網頁設計的安全缺陷及對策分析[J].無線互聯科技，2016（20）.